企業(yè)文化和對安全的整體態(tài)度，是固件漏洞的主要貢獻者——信息系統(tǒng)審計與控制協(xié)會(ISACA)

ISACA是全球性企業(yè)技術(shù)和網(wǎng)絡(luò)安全協(xié)會，日前發(fā)布了一份研究報告，稱大多數(shù)企業(yè)沒有全面的方案處理固件安全風險。

盡管隨著包括物聯(lián)網(wǎng)(IoT)設(shè)備在內(nèi)的企業(yè)硬件足跡愈加膨脹，企業(yè)越來越意識到固件安全的逐漸加碼，他們卻依然沒有應(yīng)對固件安全風險的整體方案。

ISACA的“固件安全風險和緩解、企業(yè)實踐和挑戰(zhàn)”報告，強調(diào)了對硬編碼在只讀存儲器(ROM)中固件的強有力安全管理控制和審計實踐的建立。

該研究基于對橫跨北美、歐洲和亞洲的750名網(wǎng)絡(luò)安全從業(yè)者的調(diào)查，表明緩解安全風險的基礎(chǔ)，是企業(yè)以一種安全優(yōu)先的態(tài)度來看待硬件生命周期管理，而不是將之視為純粹的操作層面問題。

衛(wèi)生保健安全公司MedSec董事兼CEO賈斯汀·伯恩說：“固件安全不再是一個理論問題。”

“證據(jù)顯示，攻擊者已將固件當做攻擊目標。今天的很多數(shù)據(jù)泄露和漏洞發(fā)現(xiàn)都源于固件問題。”

盡管解決方案紛紛出臺，大多數(shù)企業(yè)環(huán)境依然尚未準備好。“雖然在這個問題上‘知識就是力量’是很明顯的事兒，但該研究充分表明了，企業(yè)文化和對待安全的整體態(tài)度，很明顯是漏洞的主要貢獻者。”

在硬件生命周期管理中安全優(yōu)先的受訪者，過半數(shù)(52%)的人至少報告了1起感染惡意軟件的固件被引入到公司系統(tǒng)中的事件。17%的此類事件造成了實質(zhì)性影響。

與之相對，硬件生命周期管理中忽視安全的受訪者，未知惡意軟件發(fā)生的概率非常高(73%)。這表明有很多漏洞仍未被檢測，沒被打上補丁，滋生了安全風險。

知情缺失還對信心造成了影響，71%安全優(yōu)先度低的受訪者，覺得自己沒準備好處理網(wǎng)絡(luò)攻擊。

報告稱，想要能夠解決這些弱點，企業(yè)需要加強IT部門和審計人員間的合作與溝通，建立健壯的硬件生命周期管理控制。研究顯示，根據(jù)審計團隊的反饋部署行動，是風險緩解的關(guān)鍵。

補丁管理過程

調(diào)查表明，認為自家企業(yè)完全遵從固件審計的受訪者，63%的人報告了補丁管理過程中更高的有效性。另一方面，不接收任何審計反饋的那些(51%)，對固件完整性監(jiān)視和漏洞修復(fù)，沒有任何控制。

ISACA董事會主席，Intralot信息安全組長克里斯托斯·迪米特里阿迪斯稱：“將固件維護視作運營職能而非安全問題，漏洞被利用的機會就會一直存在。”

報告為企業(yè)提出了幾條防止固件攻擊的建議：

在盡可能的地方，找那些允許企業(yè)獨立驗證設(shè)備(服務(wù)器、無論、存儲、IoT)完整性的廠家。

將設(shè)備隔離進不同信任區(qū)，讓企業(yè)可以分別操作可信設(shè)備或不可信設(shè)備。

建立固件更新策略。

由于持續(xù)監(jiān)視是最重要的，應(yīng)獲取專門用于通過網(wǎng)絡(luò)監(jiān)視設(shè)備完整性的系統(tǒng)和技術(shù)，利用諸如可信平臺模塊(TPM)之類值得信賴的技術(shù)。